应用简介
Wireshark是一个专业的网络抓包以及协议分析软件,它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件,最重要的是它是免费使用的,是网络工程师的好帮手,让其轻松的去抓包分析网络,有需要的不要错过。
【使用教程】
下面来说一下Wireshark在抓包后常用的过滤方法,给网络初学者一个参考。
1、过滤源ip、目的ip。
在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1
2、端口过滤
如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包
3、协议过滤
比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议
4、http模式过滤
如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"
5、连接符and的使用。
过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。
【过滤规则】
只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率。
如果要填写过滤规则,在菜单栏找到capture->options,弹出下面对话框,在capture filter输入框内填写相应的过滤规则,点击下方的start 就生效了。
1.只抓取HTTP报文
tcp port 80
解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81
2.只抓取arp报文
ether proto 0x0806
解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000
3.只抓取与某主机的通信
host 网站名称
只抓取服务器的通信,src表示源地址,dst表示目标地址
【显示规则说明】
只是将已经抓取到的包进行过滤显示。可以在软件页面下方的输入框添入相应的规则点击apply即可,如果需要清除这一次的显示过滤点击Clear即可
1、只显示HTTP报文【tcp.port == 80】
2、只显示ARP报文【eth.type == 0x806】
也许你会说Type后面的值记不住,没关系可以点击Expression会弹出Filter Expression窗口,如下图:
3、只显示与某主机的通信【ip.addr == 42.121.252.58】
4、只显示ICMP报文【Icmp】
【更多版本下载】
这个Wireshark版本是适用于32位系统的用户,如果有需要64位的软件请下载下面的版本,同时我们也提供了其他的相关版本,有需要的请看下面的下载表格。
![Google Play Store(谷歌安卓市场) V39.8.19-29 [0] [PR] 607805846 安卓版](http://pic.downxia.com/upload/2020/0219/20200219034305543.png)
